然而（ér），潘多拉魔盒（hé）已经（jīng）打开（kāi），CSDN数据库的（de）泄露仅仅是个开始。“没想到后面的（de）事情越来越大，已经到了不（bú）可收拾的程度。”蒋涛说。

12月22日（rì），知名IT博客（kè）“月光博客”披露，多玩网数据库泄露超过800万条信（xìn）息，有大量（liàng）用户名、明文（wén）密码（mǎ）、邮箱（xiāng）及部分加（jiā）密（mì）密码。“经（jīng）过验（yàn）证，使用该（gāi）数据库中的用户名和密码可以正（zhèng）常登录多玩网。”

同（tóng）日（rì），标注为“人人网500万用（yòng）户资料”的文件（jiàn）开（kāi）始在网上流传，嘟嘟牛、7k7k、178游戏网（wǎng）、CSDN等多家网（wǎng）站数（shù）据（jù）库文件（jiàn）的截图也出现在微博上，涉（shè）及的用（yòng）户信息（xī）总量超过5000万条。但人（rén）人网否认用户数据（jù）遭到泄露（lù），他们在官方微博上提（tí）醒（xǐng）称，“如果（guǒ）您的人人网账号密码和CSDN或（huò）其他网站一致，建议您马（mǎ）上修改密码，以免账号被盗。”人人网相关人员在接受采访时表（biǎo）示（shì），提醒用户（hù）只是出于安全考虑。

12月25日（rì），泄密规（guī）模（mó）进一（yī）步扩大，网（wǎng）络上（shàng）开始流传天涯论坛（tán）的用户数（shù）据库，信息总量超过4000万条。随后（hòu），这一新闻被（bèi）天涯社区官方（fāng）致歉信（xìn）证实：由于历史原因，天（tiān）涯社区早期使用明文密码，在2009年11月改成（chéng）加密密码，但是部分老的（de）明文密码库未被（bèi）清理（lǐ），黑客（kè）泄露（lù）的正是2009年（nián）11月升级密码保（bǎo）存方式之前（qián）所注册的用户。不过天涯社区并未在（zài）公告中对泄露的用户规模（mó）进行确认。天涯社区公关经理初蒙在（zài）接受（shòu）财新《新世纪》记（jì）者采访时表（biǎo）示，确认用户（hù）信息（xī）遭泄露后，已经向海南省公安厅、海（hǎi）口市公（gōng）安局报案，案件（jiàn）目前正在侦查之（zhī）中。

12月26日，网上（shàng）又传出新浪（làng）微博的用户资料疑似（sì）被泄露，并（bìng）公布了新浪（làng）微（wēi）博数据下（xià）载（zǎi）地址（zhǐ）。这个（gè）疑似数据库一共有约476万条账户（hù）和（hé）密码信息（xī）。

此后，泄密事件继续发酵（jiào）升级，传闻开始波及到（dào）电子商务及银行（háng）系统（tǒng）。12月27日（rì），乌云漏洞报告平台披（pī）露京东商城（chéng）的漏洞（dòng），“在某些业务上存在用户权限控制不当（dāng）的漏（lòu）洞，导致任意用户登录系统后，都可以正常访问（wèn）到所有用（yòng）户的（de）信息，包（bāo）括姓名、地址（zhǐ）、电话、Email等。”这一漏洞报告得到了京东商城方（fāng）面的响应。

12月28日（rì），“当当网（wǎng）1200万用（yòng）户信息遭泄露”的说（shuō）法亦（yì）被“小部分（fèn）”证实。当当网的公告称：“经核实，网络公布的（de）信息数据只有极小（xiǎo）部分属实（shí），且均（jun1）系（xì）2011年（nián）6月（yuè）之前的老数据，该（gāi）部分数（shù）据是由（yóu）于（yú）之前遭到网络黑（hēi）客攻击被盗取。”

乌云漏洞报告平台在12月28日也（yě）再次报告称，“支（zhī）付（fù）宝用户大量泄露（lù），被（bèi）用于网络营销，泄露总量（liàng）达（dá）1500万-2500万之多，泄（xiè）露事件不（bú）明，里面（miàn）只有支付宝用户（hù）的账号，没有密码”。支付宝随后回应称（chēng），支（zhī）付宝账号不是私密信息，在（zài）很多地方（fāng）都可以搜集到，只有（yǒu）账号没（méi）有密码（mǎ），对用户资金安（ān）全没（méi）有（yǒu）任（rèn）何威胁，“支付宝（bǎo）采取金融级的信（xìn）息安全标准（zhǔn）去保护用户（hù）信息（xī）及资金（jīn）安全，我们承诺没（méi）有任何人能（néng）从（cóng）支付宝获得用（yòng）户的密码等私密（mì）信息。过去没有（yǒu），以（yǐ）后也没有，请（qǐng）大家放心”。

但12月29日，更（gèng）吓人的消息又在网上（shàng）疯传：交通（tōng）银行、民生银行分别泄露用（yòng）户资料7000万和3500万份，“卡号、姓（xìng）名、密码都有”，并配有截图（tú）。当天下午，交通银行、民生银行、工商银行等分别发布公告辟谣，称“用户（hù）资（zī）料外泄的传闻纯属谣言”。

当（dāng）日晚间，又有网（wǎng）友披露称，广东省（shěng）公（gōng）安厅出（chū）入境政府服务网网上（shàng）申请数据泄露，几乎所有提（tí）交网上申请用（yòng）户的真实姓名、出生年月、电话、护照号码、港澳通行证号码等信息（xī）均（jun1）可查到，泄露的（de）总信（xìn）息（xī）量（liàng）高达444万条。这一信（xìn）息被广东省公（gōng）安厅证实：2011年6月24日（rì）至2011年（nián）12月29日期间，在广东申（shēn）请出（chū）入（rù）境的用户信息遭到泄（xiè）露（lù）。

仅仅一（yī）个星期（qī），泄（xiè）密已经从CSDN一（yī）家网站的危机（jī）演化成为了席卷整个互联网的大事件。一时（shí）间，各（gè）大（dà）网站人人自危，真假数据库屡屡出现。国家互联网应急中心对（duì）所曝光的数据（jù）进行（háng）了（le）抽查核实，发（fā）现部分数据是有（yǒu）效（xiào）的，经过与相关网站、论坛（tán）联系后，确认CSDN社区、天涯社区两（liǎng）家（jiā）网站发生了（le）用户（hù）数据（jù）泄露（lù）事件，但泄露原（yuán）因（yīn）还（hái）有待（dài）进一（yī）步（bù）分析；对于其（qí）他（tā）网站、论（lùn）坛，虽然曝光数（shù）据中（zhōng）个别条（tiáo）目有效，但不能判定发生了网站、论坛用户数据泄（xiè）露事（shì）件。

金（jīn）山网络反病毒工（gōng）程师李铁军12月30日接受（shòu）财新《新（xīn）世（shì）纪》记者（zhě）采访时则表示，根据他们从网上下载的数（shù）据库（kù），剔除（chú）重复信息之后，有超（chāo）过1亿条的（de）用（yòng）户（hù）信息在此次事件中泄露。

一位不愿具名的网络（luò）安全（quán）工程（chéng）师也向财新《新世纪》记者（zhě）证实，经过重合度分析、数据（jù）库格式判断（duàn）等验证分析，基本可以断定“有十几（jǐ）家网站的数据库比较（jiào）靠谱，应该是（shì）真实的”。

大（dà）规（guī）模用户（hù）数据泄密后，各（gè）种（zhǒng）“浑（hún）水摸鱼者”也（yě）随之而来。蒋（jiǎng）涛告诉财新《新世纪（jì）》记者，一些人开始制造假的数据库来混淆视听；一些（xiē）网站（zhàn）通知所有用户修改密（mì）码，以（yǐ）乘机激活“沉睡”用户（hù）；甚至（zhì）一些网站把曝光的数据库直接导入自己的数据（jù）库，然后发通知给用户修改（gǎi）密码，不费吹灰之力即获（huò）得（dé）上千万（wàn）规模的用（yòng）户。当然，对用户影响最直接的是各种垃圾邮件、钓（diào）鱼邮件多了起来。

真正令（lìng）人担心（xīn）的是，或许（xǔ）还有更大规模的数据被地下黑客所掌握，只（zhī）是（shì）没有公布（bù）而（ér）已（yǐ）。著名网络安全专（zhuān）家龚蔚（goodwell）公开（kāi）表示，这次曝光的1亿多（duō）条用户账（zhàng）号及密（mì）码等相关（guān）信息，只是黑客所（suǒ）掌握（wò）数（shù）据的“冰山一角”，预计有（yǒu）将近4亿-6亿的用户账号信息在黑客地下领域（yù）流传。

翻过新（xīn）年，此波网（wǎng）络（luò）账号信（xìn）息（xī）泄密的浪（làng）潮仍有余波。1月4日（rì），一位网（wǎng）络ID为“网路（lù）游侠（xiá）”的（de）“白帽黑客”在（zài）自己的博客上（shàng）发布了新浪的漏洞：新浪iask站（zhàn）点（diǎn）存在SQL注入漏洞，利用漏洞可以读取iask数据库内容（róng），包括明文密（mì）码（mǎ）在内的7000多万新浪用（yòng）户（hù）信息。由于新浪实行“全站一号登录”，黑客（kè）利（lì）用这个漏洞还可以获得新（xīn）浪（làng）微博的（de）相关（guān）账号信（xìn）息。“网（wǎng）路游（yóu）侠”以知名魔（mó）术师刘谦的（de）微博为例，通（tōng）过构造（zào）数据库查询语（yǔ）句就轻松获得了刘谦的（de）账号及密码信息，并成功登录（lù）。当天晚间，刘谦在微博上（shàng）转发该（gāi）博客，证实此（cǐ）事。不过，“网路游（yóu）侠”称，这个漏洞他是在1月（yuè）1日发现（xiàn），已及（jí）时通知新浪官方，并（bìng）在（zài）新浪修复（fù）了该漏洞后才在博客上公（gōng）布文章，供参考学习之用。

截至发稿，新浪（làng）方面对此事（shì）尚未做出回（huí）应（yīng）。事实上，早在2010年10月，乌云漏（lòu）洞平台（tái）就曾报告称新浪iask站点存在SQL注入漏洞的安全问（wèn）题。

偶（ǒu）然中的必然

“这（zhè）些数据库在黑（hēi）客圈几（jǐ）年前（qián）就有了，这一次（cì）只不过是个比较集中的爆发”

是谁，在什（shí）么时候，拿走（zǒu）了这些（xiē）涉（shè）及（jí）用户隐私的数（shù）据？原（yuán）本隐（yǐn）秘（mì）在（zài）黑客圈的数据（jù）库缘何会曝光在公众面前？互（hù）联（lián）网是否还有安全（quán）可言？此轮网络大泄密，让这些问题成了普（pǔ）通（tōng）互联（lián）网用户最自然的追问。

“这些数据库在（zài）黑客圈几年前就有了，这一次只不过（guò）是个比较集中的爆发（fā）。”安全宝（bǎo）CEO马杰（jié）对财新《新世纪》记者称，CSDN数（shù）据（jù）库（kù）的曝光看似偶然（rán），实（shí）则必然（rán）。“冰（bīng）冻三尺非一日（rì）之寒，互联网行业安全问题的累积已经太多了，迟早会爆发。”马杰在安全行业超过（guò）十年（nián），曾任瑞星研发总经理，负（fù）责（zé）个人和企业的（de）安全产品。

这也是网络安全行（háng）业人员近（jìn）乎一（yī）致的观点。天融（róng）信公司高级安全（quán）顾问吕（lǚ）延辉（huī）向财（cái）新《新（xīn）世纪》记者（zhě）证实（shí），最早在2008年（nián）时，就曾听说有（yǒu）一些网站的数据库在（zài）黑客圈流（liú）传。

本次密码信息最先被公布（bù）的CSDN社区（qū），后来曾组织安全专家进（jìn）行（háng）讨论，得知公司的数据库事实上早就在（zài）黑客的手（shǒu）上（shàng）了。“并不是（shì）说这一刻先攻破（pò）了CSDN，放出数据库，然后下一刻攻破了天涯再放出数据库。而（ér）是这（zhè）些数据他们手上一直都（dōu）有，只（zhī）不过抛（pāo）出来的时（shí）间不一（yī）样。”蒋涛说。

天融信（xìn）成都分公司技术（shù）负责人邹（zōu）晓波称（chēng），早期的很（hěn）多网站，都（dōu）可以通过服（fú）务（wù）器（qì）渗透，取得后台（tái）数据库的权限，直（zhí）接取得数据。“黑（hēi）客圈内人都（dōu）知道谁被（bèi）盗（dào）了，他（tā）们不（bú）一定（dìng）公布，但（dàn）是会炫耀，在小范围（wéi）内流传，大部分没有（yǒu）去获（huò）利（lì）。”

CSDN社（shè）区数（shù）据库的（de）曝光（guāng），曾经被（bèi）指向一名ID为Hzqedison的（de）金山公司员工，他（tā）分享数据库下载（zǎi）地址的截图最（zuì）早在网上流（liú）传（chuán）。12月22日（rì），CSDN数据库外泄一事（shì）被广泛关注的时候，Hzqedison在新浪微（wēi）博表示道歉。随后，金山公司也发表声明，金山员工并非网络（luò）上传言（yán）的（de）黑客，并非最早对外（wài）发布（bù）密码库的第一人（rén）。

Hzqedison解释了事情的经过：“12月21日，我在一个聊天群里看（kàn）到CSDN数据库的迅雷（léi）下载（zǎi）地址，就离线下载了该（gāi）文件来检查自己（jǐ）账号是否被泄露。为了让同事们也（yě）检查，才做了分享贴到同事群里。5分钟（zhōng）后（hòu），该（gāi）地址截图被发到了乌云（yún）漏洞报告（gào）平（píng）台上，得知后我（wǒ）立即删除了迅（xùn）雷分享地址。因（yīn）为删除（chú）很及时，该地（dì）址（zhǐ）只有（yǒu）几（jǐ）名同事下载过，而且从（cóng）未将数（shù）据库文件外泄。”

李铁军告诉财新《新世纪（jì）》记者（zhě），据他了解，当时该金山员（yuán）工上传CSDN数据（jù）库时（shí），是（shì）“秒传（chuán）”的（de），说明这（zhè）个数据库文件在（zài）迅雷（léi）下载服务器中早已存在。

“是谁最早上传了（le）这些（xiē）数（shù）据库，现在（zài）已经很难确定。”李铁（tiě）军说，除了CSDN的（de）数据库（kù），还有其他网站的数据库一起在网上（shàng）流传。因为CSDN的影响力（lì）比较（jiào）大（dà），所（suǒ）以就传（chuán）开了。

事实上，CSDN数据库（kù）曝光之（zhī）前（qián）已有征兆。李（lǐ）铁军告诉财（cái）新《新世（shì）纪（jì）》记者，他在12月14日前后，即泄密事（shì）件发生的前一周（zhōu），就已经注意（yì）到有（yǒu）很多网友在新浪微博（bó）上反映账号被盗，“这是黑客在用数据库去试探新浪的数据库（kù），有些就（jiù）撞到了”。

马杰（jié）分（fèn）析，这次曝（pù）光的网站数据库应该是最近几年间连续（xù）不断被刷库（kù）的。“安全圈也知道，这几年地下（xià）黑客圈在刷库，也知道（dào）一些数据库在黑客圈流传。”

所谓（wèi）刷库，是（shì）指黑（hēi）客入侵网站服务器之（zhī）后窃取用户数据（jù）库的行为，互联（lián）网业内也称其为“拖库”，取其（qí）谐音，也形（xíng）象（xiàng）称（chēng）之为“脱（tuō）裤”

看上去，金山员工“偶然（rán）”的发（fā）现和分享，加（jiā）上地下黑（hēi）客累（lèi）积经年的刷库行为，以及数据库（kù）在圈子中的一轮（lún）轮扩散，最终促（cù）成了这次网站数据库大规模（mó）的曝光。

但是（shì），这（zhè）里面依然（rán）隐（yǐn）藏（cáng）着两个问题。第一，金山员工如何能“偶然”发（fā）现原本在地下黑客圈流传的数（shù）据库？第二，仅（jǐn）是CSDN的数据库曝光，缘何能引发一连（lián）串的数据库浮（fú）出水面？

地下黑（hēi）客圈传输或交换文件，一般都是点对点的传（chuán）输，有时甚至通（tōng）过邮寄移动（dòng）硬盘（pán）或（huò）光盘来实现。但随着被刷的（de）数据库（kù）越来越多，转（zhuǎn）手的次数越来越多，参与的（de）人数也越来越多，出错和曝（pù）光（guāng）的概率就越（yuè）来（lái）越大。

乌（wū）云漏洞报（bào）告平台（tái）的创建人剑（jiàn）心（xīn）分析说，由于不（bú）同（tóng）黑客（kè）掌（zhǎng）握的数据库（kù）各有不同（tóng），刷出来（lái）的数据库会（huì）在黑客圈中交（jiāo）换，这样就会一轮一轮（lún）的扩散（sàn）。很有可能是某个人在转手传播的（de）过程中，由于（yú）文件太大，无法实现网络上点对点的（de）传（chuán）输，不得不利用（yòng）迅雷、网盘一类的工具进行上（shàng）传和下载。在这（zhè）过程（chéng）中，工（gōng）具会（huì）把这些（xiē）文件泄（xiè）露出来，甚至会在搜索“数据”等（děng）关键词时出现推荐。这样扩散的范围就更大，进入与黑客（kè）圈有交流的安（ān）全圈也就不足为奇了。

至于网站（zhàn）用（yòng）户密码（mǎ）连续被报丢（diū）失（shī）的（de）现象，吕延辉（huī）解释说（shuō），一些数据库（kù）曝光之后，黑客手中那些与之雷同的（de）数据库就（jiù）没有（yǒu）价（jià）值了。并且，引发公众关注后，基本所有（yǒu）网站都会通知用（yòng）户（hù）修改密（mì）码，政府相关部门可能（néng）还会介入，那么其他的一些非（fēi）核（hé）心数据库的价值也就更低了。

吕（lǚ）延辉表示（shì），可（kě）以（yǐ）看出来，这次曝（pù）光的（de）数据库（kù）都是（shì）在地（dì）下黑客圈转手很多（duō）次的（de），本身价值也不（bú）大，再加上CSDN数据（jù）库的曝光（guāng），其他数（shù）据库的含金量进（jìn）一步降低，那些手（shǒu）上有库的人抛出来（lái）也不奇（qí）怪，这（zhè）才形（xíng）成了一（yī）连串的规模（mó）效应。

脆弱（ruò）的网（wǎng）站（zhàn）安全

泄密事件，将众多网站（zhàn）在安全（quán）方面的脆弱暴露无遗。知名网络安全专家、安天实（shí）验室首席技术（shù）架构师（shī）江海客直言（yán），这是一个（gè）安全崩盘的（de）时代。

安（ān）全圈内资深人（rén）士（shì）的（de）共识（shí）是，被（bèi）黑客攻击和刷库，各大网站几乎是无一（yī）幸免，只是程度和（hé）范围的不同。在做安全行业（yè）的人看来，目前（qián）大（dà）部分网站的安全性（xìng）都不足。“这一（yī）次表（biǎo）面上看是明文密码库的问题（tí），但（dàn）实际上多数网站从根本上都没有（yǒu）重视自身的信息安全。”天（tiān）融信公司副（fù）总裁刘辉对财新《新世（shì）纪》记者表示（shì），网站把绝大部分资金（jīn）投入（rù）到日常运营中，只有被攻击或吃过（guò）教训（xùn）后，才想（xiǎng）起来安全的重要（yào）性。

“一些网（wǎng）站（zhàn）之所以容易被‘脱裤（kù）’，很（hěn）大一部分（fèn）原因就是因为（wéi）本身就（jiù）穿得太少了。”刘辉说，很多（duō）经营（yíng）性网站甚至都没有（yǒu）专门的网络安全工程师。

CSDN社区数据库在此次事件中最先（xiān）曝光（guāng）。蒋涛也（yě）坦（tǎn）言，“原来对安全的认识还停留在相对低的水（shuǐ）平上，觉（jiào）得（dé）自己的数据不是什么关键（jiàn）数据，别（bié）人拿去也没什么（me）用。”

但这次（cì）一连串的数据（jù）库泄密事件证明，互联网存在很大的（de）关联性，特别是拥有大量用户的网站，更不是一个孤立的存在，很（hěn）多用户的（de）邮箱（xiāng）、账号都与别的（de）系统相（xiàng）关联，一旦有事，就会造成跨网站的（de）连锁（suǒ）反应。另（lìng）外，由于安全问（wèn）题出在了服务器端，普通（tōng）用户基本没有办法防范，数据库被刷后曝（pù）光（guāng）出（chū）来，用户只能被（bèi）动的修改密码。

马杰则指出，现在互联网从原来提供内容为主，到现在有很多的网上购物与社（shè）交，网站的重（chóng）要（yào）性进入了另外一个层面，但（dàn）安全现状停步（bù）不（bú）前。“现在网站数（shù）据中所包含信息的价值在上升，但安（ān）全防护的（de）措施并没有加强。”他说。

另一方面，专（zhuān）业做网站功能、应用和服（fú）务的人，与专业（yè）做安全的人，在（zài）技术思维上（shàng）也存在巨大差异。“一个B2C网（wǎng）站的程序员，做了一个系统，花了几个月的功（gōng）夫，自己觉（jiào）得（dé）没什（shí）么问（wèn）题，然后请专业做安（ān）全的人去找漏洞（dòng），结果做不到十分钟就破解了。”李铁（tiě）军举例说（shuō），二者没有高下之（zhī）分，只（zhī）是职业的特征决定了思路（lù）上的差异。

思路上（shàng）的差异，加上安全意（yì）识（shí）的不到位，导致了网站安全的脆弱。CSDN、天涯社区至今仍未（wèi）披露数（shù）据库外泄的具体原因。马杰（jié）告诉财新《新世纪》记者，从技（jì）术上讲，有很（hěn）多种方（fāng）法可以刷库，“就像（xiàng）一个很（hěn）大的房子，可以爬窗户、撬门，或者从烟（yān）囱进来（lái），甚（shèn）至挖个地道进来，就看黑客想花（huā）多大的功夫和精力”。

通常来（lái）说，黑客都是通过（guò）发现（xiàn）网站（zhàn）或应用软（ruǎn）件的漏洞进入（rù）服务器，然后（hòu）想办法（fǎ）提升权（quán）限，就（jiù）可以把数据库下载下来（lái）。对一些防护比较（jiào）弱的（de）网站，甚至都（dōu）不（bú）用进入网站就能（néng）刷库。安全（quán）行业资（zī）深人士TK说：“只要分两步，第一步（bù）找到一个SQL注入点（diǎn），执行一条备份命令，备份到一个目录去；第二步，从目录把数（shù）据下载回来。根本（běn）不需要（yào）获得网站的权限，只要有SQL注入的漏洞，就可以爆库了。”

剑心（xīn）告（gào）诉财新《新世（shì）纪》记者，决定在（zài）12月30日（rì）临时关（guān）闭乌云平台的其中一条原因，就（jiù）是担心（xīn）后（hòu）续（xù）几天爆（bào）出的网站漏（lòu）洞会越来越多，引起互联网用户的恐慌。乌（wū）云漏洞报告平台是（shì）由一群互联网安全研究（jiū）人（rén）员（yuán）自发组织的（de）信息（xī）安全沟（gōu）通平（píng）台，研究人员（yuán）在上面提交厂商的安（ān）全问题，也披露一些通用的安全咨询和安全使用（yòng）。有超（chāo）过500个“白帽子（zǐ）”安全（quán）研究人员和120多个厂商（shāng）参与平台，反馈和处理了接近4000个安全问题。在泄密事件（jiàn）引（yǐn）发大范围关注后（hòu），乌云平台因曾多次发布相关（guān）安全漏洞（dòng）预警而被关注。

剑心也证（zhèng）实（shí）说，目前国内除极少（shǎo）数（shù）大型网站外，可（kě）能都被黑客刷（shuā）过库，包括网易、搜狐在内的门户，一（yī）些漏洞都（dōu）是在乌云平台（tái）上被证实的。此（cǐ）外（wài），近年（nián）来（lái）快（kuài）速（sù）膨（péng）胀的电子商务网站（zhàn），在剑心看来，安全性更是糟糕，乌云平台已经（jīng）多次证（zhèng）实并报告了（le）他们的漏洞。这（zhè）其中就包括（kuò）11月10日（rì）所报告（gào）的（de）当（dāng）当网漏洞，可（kě）以抓取超过4000万条用户信（xìn）息。

相对而言，金融系统（tǒng）的安全性较强（qiáng）。银行通（tōng）常会采用硬（yìng）加密的技术（shù），既不仅依靠登录密码和交（jiāo）易密（mì）码，还需有一个（gè）外在于密码系统的物理密钥，比（bǐ）如（rú）发送到手机的动态口令或（huò）U盾密钥，其安全（quán）性要高于单靠（kào）密码的（de）“软加密”方式。但是，随着（zhe）第三方支付、代（dài）收费、代缴费等业务的展开，银行系（xì）统（tǒng）需要开（kāi）放的接口也越来越多，对银行系统的安全提出了更（gèng）高（gāo）的（de）要求。

除网站的（de）安全性差外，本次（cì）泄密（mì）事件中（zhōng）备受（shòu）诟病的还有（yǒu）明文密码库。所谓（wèi）明（míng）文密码库（kù），即在对（duì）用（yòng）户密码信息存（cún）储时未进行加密（mì）处理，黑客获得数据库后（hòu），所有的用户名、密码一目了然，更加容（róng）易（yì）利（lì）用。

蒋（jiǎng）涛解释（shì）称，各家网站的（de）明文密码库（kù）都有复杂（zá）的（de）历史原因，CSDN是在2010年9月（yuè）之后才采用了密（mì）文存（cún）储（chǔ）。“这不是一家的问题，而是行业（yè）性的问题。”

但是，加密存储也并不一定意味着安全。多位受（shòu）访的网络安全专家告诉财新《新世（shì）纪（jì）》记者，现（xiàn）在相对简单的MD5加密方法（fǎ）已经不安全，黑（hēi）客圈（quān）建立了庞大的MD5值的“字典库”，通过“查字典（diǎn）”的方式很快就能破解还（hái）原。

马杰建议，在进（jìn）行密文存储时，还需要对加密算法（fǎ）做一些改变，或（huò）多次加密，安全性能（néng）才会有所提升。尽管通过“彩（cǎi）虹表”碰撞等（děng）方法不（bú）存在（zài）破解不了（le）的（de）情况，但至少会大大（dà）增加破解的（de）成本和时间，降低数据库对黑客（kè）的（de）吸引力。

乌（wū）云（yún）平台撰文称，最好的安全应该是自始至终就有人为安全负（fù）责（zé），将安全（quán）落实到公（gōng）司（sī）的流程（chéng）制度规（guī）范以及基（jī）础技术架构里去，形成完善的安全体系，并且持续更（gèng）新迭代，“如果以前没有（yǒu）这（zhè）方面制度，就从（cóng）现在开始建设（shè）；如果没有团队，就可（kě）以先找一（yī）些公司或者外部顾问。但是记住，不要幻（huàn）想一次性的投入（rù）就（jiù）可（kě）以抵抗（kàng）利益驱（qū）动长久进化的黑色产业（yè）链”。

黑色产业链

有人负责（zé）发掘漏洞，有人负责根（gēn）据漏（lòu）洞开发（fā）利（lì）用工具，有人负责漏（lòu）洞利用工具的销售，有人（rén）负责刷库，有人负责（zé）洗库，有人负责销售，还有人利用数（shù）据库钓（diào）鱼（yú）、诈骗、发送垃圾邮件

大规模的泄密事件（jiàn），也使得互联网江湖中（zhōng）最为（wéi）隐秘的黑色产业链再（zài）度引人关注。“熊猫烧香”病毒（dú）让公众知道了病毒黑色产业链，而（ér）此次的泄（xiè）密（mì）事（shì）件则指向了数（shù）据交（jiāo）易的黑色产业链。

马杰告诉财新《新世纪》记者（zhě），最近几年，“黑帽子（zǐ）”黑客圈内（nèi）的盈利（lì）模式发生了一些变化。最早是“挂（guà）马”比较挣钱，通过发现漏洞SQL注入，然后想办法获得网站权限，在网（wǎng）页上挂上木（mù）马程序，中了（le）木马程序的机器就（jiù）成（chéng）为“肉鸡”，通过（guò）木（mù）马控制“肉鸡（jī）”来赚钱。比如（rú）说盗（dào）号（hào）、弹窗（chuāng）、导流量等（děng）。

“早几年木（mù）马猖獗的时（shí）候，一个服务（wù）器能（néng）控制（zhì）几万台的‘肉鸡’。即使只是IE自动跳（tiào）转到某一页面，每年也能带（dài）来（lái）可观的流量（liàng）和收（shōu）入。”李铁军说，还有黑（hēi）客利用（yòng）系统漏洞和木（mù）马进行“钓鱼诈（zhà）骗（piàn）”，从个（gè）人（rén）客户一端入侵网（wǎng）银系统，进行（háng）非法转账等。

后来，“挂马（mǎ）”和“钓（diào）鱼”被各大安全公司打击得非常厉害（hài），特别是免（miǎn）费（fèi）杀毒软件在个人终（zhōng）端的（de）普及。而这个时候（hòu），地下（xià）黑客发现，刷（shuā）库（kù）是个（gè）更快、更直接的赚钱（qián）方法（fǎ）。

最近几年，围绕数据交易的黑色产业链正在逐步形成。在地（dì）下黑客圈内，一些大型网站的（de）数（shù）据库被明码标价，一个数据库整个端下来（lái），价值（zhí）数百万元到上千万元不等。

拖库成功后，到手的数据库（kù）可以有很多用途，比如直接卖给（gěi）被刷库网（wǎng）站（zhàn）的竞（jìng）争对手。黑客（kè）还可以利用部（bù）分互联网（wǎng）用户“多家网（wǎng）站一个用户名（míng）一个密（mì）码”的习惯，去试探别（bié）的网站数据库。这叫“撞库（kù）”，技术上也很容易实现（xiàn），只需要编写一（yī）个脚本，自（zì）动不断（duàn）用已盗取数据库（kù）里的信息去请求登（dēng）录（lù）。由于都（dōu）是（shì）正常请求，被撞的网（wǎng）站也很难防范（fàn），所以也会有网站（zhàn）“躺着中枪”。

安全业内人士称，刷（shuā）库之后，黑客拿着数据库（kù）去“撞”有虚拟币系统的游戏网站（zhàn）、腾讯，以及网上银（yín）行、支付宝及电（diàn）子商务网站，都是必（bì）然会发生的事情。如果撞到了重（chóng）合用户，将（jiāng）其账号内（nèi）虚拟资产、网银洗劫（jié）一空都是再自然不过了。

经过多（duō）次倒卖和“洗库（kù）”之后，数据库还能（néng）被卖（mài）给价值链的（de）末（mò）梢买家——利用账号信息来发送广告、垃（lā）圾邮（yóu）件（jiàn）、垃圾短信（xìn）的推销公司。通常情况下，数据库的价格越卖越便宜，流传的范围也就越（yuè）广，距离曝光（guāng）也就越近。

而在整（zhěng）条黑（hēi）色产业链中，分工也比（bǐ）较（jiào）明确。最核心和最（zuì）难的是发掘（jué）漏洞，这对（duì）技（jì）术的要求最（zuì）高，能发（fā）掘漏洞的黑客（kè）也比较少。吕延辉介（jiè）绍，在地下黑客中，有人专门负责（zé）发掘漏洞，有人（rén）专门负责（zé）根据漏洞开发利用工具，有（yǒu）人负责漏洞利用工具的销售，有人负责刷库（kù），有人负责洗库，有人负责数据库的销（xiāo）售，最后端，还有人（rén）利用（yòng）数（shù）据库钓鱼、诈骗、发送垃圾邮件。

有（yǒu）网络安全（quán）人士（shì）估（gū）算，目前互联网的地下黑色（sè）产业链规模已经达到上千亿元，而（ér）安全行业的规模（mó）目前还只有（yǒu）几（jǐ）百亿元（yuán），“就像毒品的市场（chǎng）规模反而大于麻醉药的市（shì）场规模（mó）”。

失能的法律防火墙

周（zhōu）汉华（huá）表示（shì），“当网（wǎng）站（zhàn）的资料和个人信息紧密相（xiàng）连（lián），安全却没（méi）有保障，这种情况下，实名制是相当危险（xiǎn）的”

刘辉判断，这次泄密事件（jiàn）将注定会是互联网发（fā）展历史（shǐ）上一（yī）件大事。一（yī）方（fāng）面是对互联网业（yè）务发展模式的（de）影响（xiǎng）；另（lìng）一方面，则是互联（lián）网行业安全（quán）规（guī）范机制的建立已势（shì）在（zài）必行（háng）。

“短期内，互联网行业的发展会受到一定的影响。”刘辉说，例如近两年兴起的云计算服务，现在提供（gòng）云服务（wù）的互联（lián）网公（gōng）司必须要重新建立用户（hù）的信息，并说服用户（hù）上传（chuán）至云端的资料是（shì）安全的。要（yào）说服用（yòng）户，就需要（yào）相应的安全（quán）承诺及安全认证机（jī）制。

蒋（jiǎng）涛也表示，这次泄密（mì）事件相当于（yú）给整个互（hù）联网业（yè）上了一课。“CSDN也是（shì）专业的IT社区（qū）平台，我们（men）会利用这个平台来加强安（ān）全的（de）教育和（hé）普及，提升互联网行业的安全意识。”他说（shuō），除了加强（qiáng）自身的安全性，这是（shì）CSDN在2012年要去做的（de）重要（yào）事情，“互联（lián）网上各大（dà）网站（zhàn）的关联（lián）度（dù）越来越高（gāo），安全（quán）已经不是（shì）一家（jiā）两家的问题，而（ér）是全行业的（de）问题”。

在全世界，身份的（de）盗用（yòng）和密码的泄露每天都会出现，但与发达（dá）国家不（bú）同的（de）是（shì），这（zhè）次密（mì）码泄露事件发（fā）生后，各（gè）方几乎（hū）束手无策（cè）。“大家都不知道（dào）怎么去保护自己的权利，大家就只能看着发生，等着下一次什么时候发生。”中国社会科学院（yuàn）研（yán）究员（yuán）周汉华（huá）对财新《新世纪》记者说，“我们的问题是没有有效的（de）管理手段，没有可以（yǐ）适（shì）用的法律。”

在亚太网络法律研究中（zhōng）心主任刘德良教授看来，个人信息在网络时代越来越具有商业价值，这（zhè）也是目前非法收集（jí）、加（jiā）工、买卖（mài）和商业（yè）性滥用个人信息行为日益泛滥的内（nèi）在驱（qū）动力。针对如此严（yán）重的网络（luò）的个（gè）人信息安（ān）全威胁，法律的“防火墙（qiáng）”为（wéi）何失（shī）能以及（jí）如何（hé）重（chóng）构，成为（wéi）一（yī）个急需解（jiě）决的（de）问题。

上海一位经（jīng）侦人员对财新《新世纪》记者介绍（shào），他们曾经侦办过一（yī）个利用（yòng）个人（rén）信息实施犯（fàn）罪（zuì）的案子。有（yǒu）人发现几百万元银行存款莫名消失，于（yú）是报案。此案涉及几百万条的车主信息数（shù）据库，这些信息有黑（hēi）客攻击得到的，也有银行、保险业的内部人（rén）泄露出来的。犯罪分（fèn）子（zǐ）的作案手法是，通过（guò）内部（bù）泄露或者黑客攻击（jī）得到包括车（chē）主（zhǔ）姓名（míng）和身（shēn）份证号码（mǎ）的用户信息（xī）库，找银行的人查开户信息，这个（gè）行话叫（jiào）“包行”，几百块就能做。得到卡号后，然后猜（cāi）密（mì）码（mǎ），利用黑客（kè）软件（jiàn）和银行卡进行比对。

从刑事法律（lǜ）来看（kàn），2009年《刑法》修正（zhèng）案增加（jiā）了“非法侵入计算机信息系（xì）统（tǒng）罪”的条款，“违反（fǎn）国家规（guī）定，侵（qīn）入计算机（jī）信息（xī）系统或者采用其他技术手段，获取该计算机信息（xī）系（xì）统中存储、处理或者传输（shū）的数据，或者对（duì）该计算机信息系统实施非法控制，情节严重的，处三年（nián）以下有期徒刑或者拘役，并（bìng）处或（huò）者（zhě）单处罚金；情节特别（bié）严重的，处三（sān）年以上七年以下有期徒刑（xíng），并处罚金”。

同年，全国人大常委会还出台《侵权（quán）责任法》，规定（dìng）网络服务（wù）提（tí）供者和网络（luò）用户利用网络侵害（hài）他人民事权益（yì）的（de），应当（dāng）承担侵权责任；网络（luò）服务提供（gòng）者知道（dào）网络用户利用其（qí）网络服务侵害他人民事（shì）权益，未采取必要措施的（de），与该网络用户承担连带（dài）责任。2000年，全国人大常委会（huì）又（yòu）专（zhuān）门制定了《关于维护互联（lián）网安全的决定》，重（chóng）申各种（zhǒng）互联（lián）网违法的刑（xíng）事责任和民（mín）事责任。

在行（háng）政监管层（céng）面，除了国务（wù）院在1994年制定（dìng）的《计（jì）算机信（xìn）息系统安全保护条例》，作为全国计（jì）算（suàn）机系统安（ān）全（quán）保护工作主管（guǎn）部（bù）门的公安部，也制定了（le）《信息安全等级保（bǎo）护（hù）管理办法（fǎ）》以及《计算（suàn）机信息系统安全（quán）保护等级划分准则》《信息系统安全等级保（bǎo）护（hù）基（jī）本要求（qiú）》《信息系统（tǒng）安全等级保护测（cè）评要求》等30多个标准。

多（duō）重的法律规定（dìng），为何实施效果不佳？周汉华认为，《刑法》的适用门（mén）槛比（bǐ）较高，需要“违（wéi）反国家规定”和“情节严重”的条件，何（hé）况这（zhè）两个条件（jiàn）目前都缺（quē）乏相应的标准。而《侵权责任（rèn）法》的适用，在网络环境下（xià），当事人（rén）举证（zhèng）非（fēi）常困难，而且存在成（chéng）本投入和收（shōu）益不对（duì）称的情（qíng）况。

周汉华认（rèn）为，《刑法》和《侵（qīn）权责任法》都属于事（shì）后救济，在网络时代，由于（yú）损（sǔn）害的发生是系统性的、不可复原的，所以对网（wǎng）络安全以及个人（rén）信息进行全流（liú）程的监（jiān）管才（cái）更为有效。目（mù）前对于这种全（quán）流（liú）程的监管（guǎn），中国既缺乏专（zhuān）门的法律，也没有专门的（de）执法机关，搜集个人资料的企业所应承担的相应（yīng）的安全责（zé）任以及相应的（de）信息流管理行为规范都缺失。“这（zhè）就是为什（shí）么要制定《个人信息保护法》的（de）原因。”周汉华称。

据财新《新世纪》记（jì）者了解，早在（zài）2003年之时，周（zhōu）汉（hàn）华曾（céng）经受（shòu）当时的国务院信（xìn）息化办公室委托，主持（chí）《个（gè）人信息保护法》的（de）立（lì）法研（yán）究，并且在2005年（nián）形成了一份专家意见稿。但时（shí）隔多年（nián），这部法律的（de）立法工作迟（chí）迟未被启动。

刘（liú）德良（liáng）教授认（rèn）为，在当前中国的（de）法律（lǜ）框架下（xià），把个人信息都纳入人格权的范（fàn）畴，而不承认个（gè）人（rén）信息（xī）的商业价（jià）值也是个人的财产；人格权（quán）受到侵害后，原则上也不能要求财（cái）产损害赔偿（cháng）。因此他提出，对于个人信息的法律保护，应该包（bāo）括隐私上的人格（gé）利益和个人信息的商业价（jià）值这双方面，将（jiāng）个人信息的商业价（jià）值（zhí）视为个人的财产，未经允（yǔn）许（xǔ）擅自收集和商业性利（lì）用个人隐私，既是一（yī）种侵犯人格权的（de）行为，也是一种（zhǒng）侵（qīn）害财产权的行为（wéi）。